如何配置数据库可提高其安全性

⑴ 怎么保证企业数据库的安全有哪些安全措施

制定一个成功的数据库安全策略的关键在于你要了解为什么要保护数据库，保护哪个数据库，以及如何最好的保护数据以应对所有类型的威胁，遵从各种规范——如SOX、HIPAA、PCI DSS、GLBA 和欧盟法令。在最新的研究中，建议企业按照以下三点来建立完整的数据库安全策略：

1、建立一个集身份验证、授权、访问控制、发现、分类，以及补丁管理于一体的坚实基础。

了解哪些数据库包含敏感数据是数据库安全战略的基本要求。企业应对所有的数据库采取一个全面的库存管理，包括生产和非生产的，并且遵循相同的安全政策给它们划分类别。所有的数据库，尤其是那些存有私人数据的数据库，应该有强的认证、授权和访问控制，即使应用层已经完成了认证和授权。缺乏这些坚实基础会削弱审计、监察和加密等其他的安全措施。

此外，如果不能每季度给所有的关键数据库打补丁，那么至少半年一次，以消除已知的漏洞。使用滚动补丁或从数据库管理系统(DBMS)的供应商和其他厂商那里收集信息，以尽量减少应用补丁的停机时间。始终在测试环境下测试安全补丁，定期运行测试脚本，以确保修补程序不影响应用程序的功能或性能。

2、使用具有数据屏蔽、加密和变更管理等功能的预防措施

在建立了一个坚实和基本的数据库安全策略后，就应该开始采取预防措施，以保护重要的数据库。这样就为生产和非生产数据库提供了一个保护层。数据隐私不随着生产系统而停止，它也需要扩展到非生产环境，包括测试、开发、质量保证(QA)、分阶段和训练，基本上所有的私有数据都可以驻留。数据库安全专业人士应该评估在测试环境中或外包应用开发中用数据屏蔽和测试数据生成来保护私有数据的效果。

使用网络加密以防止数据暴露给在监听网络流量或数据静止加密的窥视者(他们关注存储在数据库中的数据)。当数据针对不同的威胁，这些加密方法可以实现相互独立。通常情况下，也不会对应用程序的功能有影响。

保护关键数据库的结构要按照标准化的变更管理程序来进行。在过去，对生产环境中的计划或其它数据库进行变更时需要关闭数据库，但新版本的数据库管理系统允许在联机时进行这些更改，这就带来了新的安全风险。一个标准化的变更管理程序能确保只有管理员在得到管理部门批准后才能改变生产数据库并且跟踪所有数据库的变更。机构还应该更新自己的备份和可行性计划，以处理数据或元数据因这些变更而发生的改变。

3、建立具有审计、监测和漏洞评估功能的数据库入侵检测系统

当重要数据发生意外变化或者检测到可疑数据时，有必要进行一个快速的调查来查看发生了什么事情。数据库里的数据和元数据可以被访问、更改甚至是删除，而且这些都可以在几秒钟的时间内完成。通过数据库审计，我们能够发现“是谁改变了数据”和“这些数据是什么时候被改变的”等问题。为了支持之前提到的管理条例标准，安全和风险管理的专业人士应该追踪私人数据的所有访问途径和变化情况，这些私人数据包括：信用卡卡号、社会安全卡卡号以及重要的数据库的名称和地址等信息。如果私人数据在没有授权的情况下被更改或者被访问，机构应该追究负责人的责任。最后，可以使用漏洞评估报告来确定数据库的安全空白地带，诸如弱效密码、过多的优先访问权、增加数据库管理员以及安全群组监测。

牢记安全政策、安全标准、角色分离和可用性

数据库安全策略不仅关注审计和监测，它也是一个端到端的过程，致力于减少风险、达到管理条例的要求以及防御来自内部和外部的各种攻击。数据库安全需要把注意力更多地放在填补安全空白、与其他安全政策协作以及使安全方式正式化上。在草拟你的安全策略时，要使你的数据库安全政策与信息安全政策一致;要注意行业安全标准;要强调角色分离;要清楚描述出数据恢复和数据使用的步骤。

⑵ Mysql数据库的安全配置、实用技巧

1、前言
MySQL 是完全网络化的跨平台关系型数据库系统，同时是具有客户机/服务器体系结构的分布式数据库管理系统。它具有功能强、使用简便、管理方便、运行速度快、安全可靠性强等优点，用户可利用许多语言编写访问MySQL 数据库的程序，特别是与PHP更是黄金组合，运用十分广泛。
由于MySQL是多平台的数据库，它的默认配置要考虑各种情况下都能适用，所以在我们自己的使用环境下应该进行进一步的安全加固。作为一个MySQL的系统管理员，我们有责任维护MySQL数据库系统的数据安全性和完整性。
MySQL数据库的安全配置必须从两个方面入手，系统内部安全和外部网络安全，另外我们还将简单介绍编程时要注意的一些问题以及一些小窍门。
2、系统内部安全
首先简单介绍一下MySQL数据库目录结构。MySQL安装好，运行了mysql_db_install脚本以后就会建立数据目录和姿手初始化数据库。如果我们用MySQL源码包安装，而且安装目录是/usr/local/mysql，那么数据目录一般会是/usr/local/mysql/var。数据库系统由一系列数据库组成，每个数据库包含一系列数据库表。MySQL是用数据库名在数据目录建立建立一个数据库目录，各数据库表分别以数据库表名作为文件名，扩展名分别为MYD、MYI、frm的三个文件放到数据库目录中。
MySQL的授权表给数据库的访问提供了灵活的权限控制，但是如果本地用户拥有对库文件的读权限的话，攻击者只需把数据库目录打包拷走，谨哪然后拷到自己本机的数据目录下就祥册码能访问窃取的数据库。所以MySQL所在的主机的安全性是最首要的问题，如果主机不安全，被攻击者控制，那么MySQL的安全性也无从谈起。其次就是数据目录和数据文件的安全性，也就是权限设置问题。
从MySQL主站一些老的binary发行版来看，3.21.xx版本中数据目录的属性是775，这样非常危险，任何本地用户都可以读数据目录，所以数据库文件很不安全。3.22.xx版本中数据目录的属性是770，这种属性也有些危险，本地的同组用户既能读也能写，所以数据文件也不安全。3.23.xx版本数据目录的属性是700，这样就比较好，只有启动数据库的用户可以读写数据库文件，保证了本地数据文件的安全。
如果启动MySQL数据库的用户是mysql，那么象如下的目录和文件的是安全的，请注意数据目录及下面的属性：
shellls -l /usr/local/mysql
total 40
drwxrwxr-x 2 root root 4096 Feb 27 20:07 bin
drwxrwxr-x 3 root root 4096 Feb 27 20:07 include
drwxrwxr-x 2 root root 4096 Feb 27 20:07 info drwxrwxr-x 3 root root 4096 Feb 27 20:07 lib drwxrwxr-x 2 root root 4096 Feb 27 20:07 libexec drwxrwxr-x 3 root root 4096 Feb 27 20:07 man drwxrwxr-x 6 root root 4096 Feb 27 20:07 mysql-test drwxrwxr-x 3 root root 4096 Feb 27 20:07 share drwxrwxr-x 7 root root 4096 Feb 27 20:07 sql-bench drwx------ 4 mysql mysql 4096 Feb 27 20:07 var
shellls -l /usr/local/mysql/var
total 8
drwx------ 2 mysql mysql 4096 Feb 27 20:08 mysql
drwx------ 2 mysql mysql 4096 Feb 27 20:08 test
shellls -l /usr/local/mysql/var/mysql
total 104
-rw------- 1 mysql mysql 0 Feb 27 20:08 columns_priv.MYD
-rw------- 1 mysql mysql 1024 Feb 27 20:08 columns_priv.MYI
-rw------- 1 mysql mysql 8778 Feb 27 20:08 columns_priv.frm
-rw------- 1 mysql mysql 302 Feb 27 20:08 db.MYD
-rw------- 1 mysql mysql 3072 Feb 27 20:08 db.MYI
-rw------- 1 mysql mysql 8982 Feb 27 20:08 db.frm
-rw------- 1 mysql mysql 0 Feb 27 20:08 func.MYD
-rw------- 1 mysql mysql 1024 Feb 27 20:08 func.MYI
-rw------- 1 mysql mysql 8641 Feb 27 20:08 func.frm
-rw------- 1 mysql mysql 0 Feb 27 20:08 host.MYD
-rw------- 1 mysql mysql 1024 Feb 27 20:08 host.MYI
-rw------- 1 mysql mysql 8958 Feb 27 20:08 host.frm
-rw------- 1 mysql mysql 0 Feb 27 20:08 tables_priv.MYD
-rw------- 1 mysql mysql 1024 Feb 27 20:08 tables_priv.MYI
-rw------- 1 mysql mysql 8877 Feb 27 20:08 tables_priv.frm
-rw------- 1 mysql mysql 428 Feb 27 20:08 user.MYD
-rw------- 1 mysql mysql 2048 Feb 27 20:08 user.MYI
-rw------- 1 mysql mysql 9148 Feb 27 20:08 user.frm
如果这些文件的属主及属性不是这样，请用以下两个命令修正之：
shellchown -R mysql.mysql /usr/local/mysql/var
shellchmod -R go-rwx /usr/local/mysql/var

⑶ 数据库系统的主要安全措施有哪些

方法一、数据库数据加密

数据加密可以有效防止数据库信息失密性的有效手段。通常加密的方法有替换、置换、混合加密等。虽然通过密钥的保护是数据库加密技术的重要手段，但如果采用同种的密钥源衫来管理所有数据的话，对于一些不法用户可以采用暴力破解的方法进行攻击。

但通过不同版本的密钥对不同的数据信息进行加密处理的话，可以大大提高数据库数据的安全强度。这种方式主要的表现形式是在解密时必须对应匹配的密钥版本，加密时就尽量的挑选最新技术的版本。

方法二、强制存取控制

为了保证数据库系统的安全性，通常采取的是强制存取检测方式，它是保证数据库系统安全的重要的一环。强制存取控制是通过对每一个数据进行严格的分配不同的密级，例如政府，信息部门。在强制存取控制中，DBMS所管理的全部实体被分为主体和客体两大类。主体是系统中的活动实体，它不仅包括DBMS被管理的实际用户，也包括代表用户的各进程。

客体是系统中的被动实体，是受主体操纵的，包括文件、基表、索引、视图等等。对于主体和客体，DBMS为它们每个实例(值)指派一个敏感度标记。主客体各自被赋予相应的安全级，主体的安全级反映主体晌裂歼的可信度，而客体的安全级反映客体所含信息的敏感程度。对于病毒和恶意软件的攻击可以通过强制存取控制策略进行防范。但强制存取控制并不能从根本上避免攻击的问题，但可以有从较高安全性级别程序向较低安全性级别程序进行信息传递。

方法三、审计日志

审计是将用户操作数据库的所有记录存储在审计日志(AuditLog)中，它对将来出现问题时可以方便调查和分析有重要的作用。对于系统出现问题，可以很快得找出非法存取数据的时间、内容以及相关的人。从软件工程的角度上看，目前通过存取控制、数据加密的方式对数据进行保护是不够的。因此，作为重要的补充手段，审计方式是安全的数据库系统不可缺少的一部分，宴冲也是数据库系统的最后一道重要的安全防线。

⑷ 如何提高mysql的安全性

一 作为最流行的开源数据库引擎，MySQL本身是非常安全的。即便如此，你仍然需要添加额外的安全层来保护你的MySQL数据库不受攻击，毕竟任何经营网上
在线业务的人都不想冒数据库受到损坏的风险。接下来，我们将介绍一些实用的办法，你可以利用这些办法来保护MySQL数据库，以便加强网站的安全性。

二 保护操作系统

确保操作系统的安全是保护数据库安全的前提，因为如果整个运行环境不安全，那么网站上所有的东西都脆弱，很容易暴露于攻击者。为了维护操作系统和MySQL服务器，你可以使用以下方法：

2.1 主机数据库服务器和web服务器分别在不同的物理机器上，如果可能，在一个单独的服务器上运行数据库服务器，以预防由其他应用程序或服务的漏洞造成的服务器问滑世知题。

安装杀毒软件，防火墙以及所有推荐的补丁和更新，防火墙能有效地把流量过滤到MySQL服务器。为了更好的提高安全性，你还可以实行入口封锁。

禁用所有不必要的服务，而且这样的服务越少越好。

2.2 保护所有帐户和密码

攻击者侵入MySQL数据库最常见的一种方法是窃取有安全隐患的账户信息。为了降低出现这种风险的可能性，你不妨试一试下面的方法：

2.2.1. 给所有MySQL账户设置信消密码

客户程序并不是每次都能识别用户，因此，如果用户知道数据库名但是没有这个用户名的密码，那他可以指定任何其他用户名连接到MySQL数据库。让每个MySQL用户名都设置密码，这样一来，要想利用匿名账户建立连接将会变得很困难。

2.2.2. 不要使用根用户运行MySQL服务器

在安装MySQL的时候，默认情况下创建了一个命名为“root”的管理用户。每个人都知道这一点，所以攻击者通常试图侵入这个“root”用户来获取访问权限。为了保障这个重要帐户的安全，你需要给它重新命名，然后更改一个长并且复杂的密码。

2.2.3你可以在MySQL控制台使用mysql> RENAME USER root TO new_username;
指令给根用户重命名，使用mysql> SET PASSWORD FOR 'username'@'%hostname' =
PASSWORD('newpassword');//这是很重要的一条命令

指令来修改密码。

三. 减少管理员账户

管理员账户越多，风险越大，所以你应该保返世持尽可能最少的帐户数量，只有为那些真正需要它的人创建账户。此外，记得要删除未使用的和匿名的账户。如果你有很多管理员账户，那你需要定期检查并清理那些不必要的账户。

四. 加强所有的密码

除了管理员帐户，你还需要加强所有其他用户的密码。你可以检查所有的用户名和密码，必要的时候你还可以重置安全强度低的账户密码。虽说这样做会有点费时，但却是有必要的。

五 限制数据库权限

每个用户都应该被授予适当的权限以便数据库能够正常运行，但这样一来也加大了数据库的安全隐患。就数据库权限而言，我们有以下几点建议：

5.1. 不要授予非管理员用户文件/高级/程序权限

文件，高级和程序权限都不应该被滥用。文件权限让用户可以在文件系统中的任何一个地方编写文件，而程序权限让用户在任何时候都能够查看服务器活动，终止客户端连接甚至更改服务器操作。为了你的数据库安全，这些权限只能授予给管理员账户。

5.2. 限制或禁用显示数据库权限

显示数据库特权可以用于收集数据库信息，所以攻击者通常利用它来窃取数据并准备进一步攻击。你应该把这个权限授予那些真正需要的人，或者直接禁用这个权
限，你只需要把skip-show-database添加到MySQL数据库中的/etc/my.cnf配置文件中。对于Windows操作系统来说，则
需要添加到my.ini文件中。

5.3. 限制管理员和所有其他用户的权限

即使是管理员，也不要在同一账户中授予所有权限。因此我们建议你最好降低管理员账户访问数据的权限。至于其他的用户，你最好检查所有他们拥有的权限，以确保一切都是合适的。

六 删除风险组件

MySQL数据库的默认配置有一些不必要的组件，你可以考虑以下建议：

6.1. 禁用LOAD DATA LOCAL INFILE指令

这个命令允许用户读取本地文件甚至访问其他操作系统上的文件，这可能帮助攻击者收集重要的信息并利用应用程序的漏洞侵入你的数据库。你需要做的是把set-variable=local-infile=0插入到MySQL数据库的my.cnf文件中，来禁用这个指令。

6.2. 删除测试数据库

有一个默认的“测试”数据库用于测试目的。由于这个数据库有安全风险，匿名用户也可以访问，你应该使用mysql> DROP database test;指令尽快把它清除掉。

6.3. 删除历史文件

MySQL服务器有一个历史文件，它可以帮助你在安装出错的时候找到问题所在。历史文件包含敏感信息，比如说密码，如果这些信息被攻击者获得，那么将会给
你的数据库带来巨大的安全隐患。在安装成功后，历史文件并没有什么用，因此你可以使用cat /dev/null >
~/.mysql_history指令来删除文件当中的内容。

七 限制远程访问MySQL服务器

对于大多数用户来说，不需要通过不安全的开放网络来访问MySQL服务器。你可以通过配置防火墙或硬件，或者迫使MySQL只听从localhost来限制主机。此外，需要SSH隧道才能进行远程访问。

八 如果你想仅仅从本地主机来限制用户建立连接，你需要在在配置文件中添加bind-address=127.0.0.1。

8.1利用日志记录

启用日志记录让你可以检测服务器上的活动，这样你就可以分析失败的登录尝试和敏感文件的访问记录，以便了解是否存在向你的服务器和数据库发起的恶意活动。
你只需要把log =/var/log/mylogfile指令添加到MySQL配置文件中，就可以手动启用日志记录功能。

8.2至于日志记录，需要注意以下两点：

8.2.1日志记录仅适用于查询数量有限的数据库服务器。对于信息量大的服务器，这可能会导致高过载。

8.2.2由于“hostname.err”文件包含敏感数据表名和密码，只有“root”和“mysql”才有访问和记录这个文件的权限。

⑸ 如何确保数据安全

1.数据脱敏

数据脱敏是保证数据安全的最基本的手段，脱敏方法有很多，最常用的就是使用可逆加密算法，对入仓每一个敏感字段都需要加密。比如手机号，邮箱，身份证号，银行卡号等信息

2.数据权限控制

需要开发一套完善的数据权限控制体系，最好是能做到字段级别，有些表无关人员是不需要查询的，所以不需要任何权限，有些表部分人需要查询，除数据工程师外，其他人均需要通过OA流程进行权限审批，需要查看哪些表的哪些字段，为什么需要这个权限等信息都需要审批存档。

3.程序检查

有些字段明显是敏感数据，比如身份证号，手机号等信息，但是业务库并没有加密，而且从字段名来看，也很难看出是敏感信息，所以抽取到数据仓库后需要使用程序去统一检测是否有敏感数据，然后根据检测结果让对应负责人去确认是否真的是敏感字段，是否需要加密等。

4.流程化操作

流程化主要是体现在公司内部取数或者外部项目数据同步，取数的时候如果数据量很大或者包含了敏感信息，是需要提OA 审批流程的，让大家知道谁要取这些数据，取这些数据的意义在哪，出了问题可以回溯，快速定位到责任人。开发外部项目的时候，不同公司之间的数据同步，是需要由甲方出具同意书的，否则的话风险太大。

5.敏感SQL实时审查及操作日志分析

及时发现敏感sql的执行并询问责任人，事后分析操作日志，查出有问题的操作。

6.部门重视数据安全

把数据安全当做一项KPI去考核，让大家积极的参与到数据安全管理当中去。